---
title: "Модуль cert-manager"
---

Устанавливает надежную и высокодоступную инсталляцию cert-manager [release v1.12.3](https://github.com/jetstack/cert-manager).

При установке модуля автоматически учитываются особенности кластера:
- компонент (webhook), к которому обращается `kube-apiserver`, устанавливается на master-узлы;
- в случае недоступности webhook'а производится временное удаление `apiservice`, чтобы недоступность *cert-manager* не блокировала работу кластера.

Обновление самого модуля происходит в автоматическом режиме, в том числе с миграцией ресурсов cert-manager.

## Возможности модуля cert-manager (с учетом внесенных изменений)

Модуль обеспечивает использование всех возможностей оригинального cert-manager, в том числе:
- заказ сертификатов во всех поддерживаемых источниках, таких как *Let’s Encrypt*, *HashiCorp Vault*, *Venafi*;
- выпуск самоподписанных сертификатов;
- поддержку актуальности сертификатов, автоматический перевыпуск и т. д.

Изменения в оригинальный [cert-manager](https://github.com/jetstack/cert-manager) были внесены, чтобы поды `cm-acme-http-solver` могли выполняться на master-узлах и выделенных узлах.

## Мониторинг

Модуль обеспечивает экспорт метрик в Prometheus, что позволяет мониторить:
- срок действия сертификатов;
- корректность перевыпуска сертификатов.

## Роли доступа к ресурсам

В модуле предопределены несколько продуманных ролей для удобного доступа к ресурсам:
- `User` – доступ на чтение к ресурсам Certificate и Issuer в доступных ему namespace, а также к глобальным ClusterIssue;
- `Editor` – управление ресурсами Certificate и Issuer в доступных ему namespace;
- `ClusterEditor` – управление ресурсами Certificate и Issuer в любых namespace;
- `SuperAdmin` – управление внутренними служебными объектами.
